2025年3月4日，美國網絡安全和基礎設施安全局（CISA）發布緊急警報，將三個關鍵VMware漏洞添加到其已知被利用漏洞（KEV）目錄中，原因是有證據表明這些漏洞正在被積極利用。

這些漏洞編號為CVE-2025-22224、CVE-2025-22225和CVE-2025-22226，攻擊者可以利用它們在有權限訪問虛擬機（VM）的情況下提升權限、在虛擬機管理程序（hypervisor）上執行代碼，并竊取敏感的內存數據。

這些漏洞由微軟威脅情報中心（MSTIC）發現，影響VMware ESXi、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform等多個產品。

CISA的公告與Broadcom發布補丁的時間一致，強調聯邦機構和私營企業應根據《綁定操作指令》（BOD）優先修復這些漏洞。

漏洞詳情與分析

(1) CVE-2025-22224：TOCTOU漏洞可能導致虛擬機管理程序被控制

CVE-2025-22224是三者中最嚴重的漏洞，CVSS評分為9.3。它是一個存在于VMware ESXi和Workstation中的“檢查時間與使用時間不一致”（TOCTOU）競爭條件漏洞。

擁有虛擬機管理權限的攻擊者可以利用該堆溢出漏洞在VMX進程（負責管理虛擬機操作的管理程序組件）中執行任意代碼。成功利用該漏洞后，攻擊者可以控制主機系統，并在虛擬化基礎設施中進行橫向移動。

(2) CVE-2025-22225：任意寫入漏洞可逃逸沙箱

CVE-2025-22225（CVSS評分8.2）允許經過身份驗證的攻擊者通過VMX進程向ESXi主機寫入任意數據，從而實現沙箱逃逸。通過操縱內核內存，攻擊者可以獲得提升的權限，以部署惡意軟件或破壞服務。

該漏洞在多租戶云環境中尤為危險，因為單個被入侵的虛擬機可能會危及整個集群。

(3) CVE-2025-22226：虛擬機管理程序內存泄露

第三個漏洞CVE-2025-22226（CVSS評分7.1）源于VMware的主機客戶文件系統（HGFS）中的越界讀取問題。

攻擊者可以利用此漏洞從VMX進程中提取敏感數據，包括存儲在虛擬機管理程序內存中的加密密鑰或憑證。雖然其嚴重性低于前兩個漏洞，但它可以為策劃進一步攻擊提供關鍵的情報信息。

修復建議與后續措施

Broadcom已為所有受影響的產品發布了修復補丁，包括：

• ESXi 8.0/7.0：補丁版本為ESXi80U3d-24585383和ESXi70U3s-24585291
• Workstation 17.x：版本17.6.3修復了CVE-2025-22224和CVE-2025-22226
• Fusion 13.x：更新版本13.6.3修復了CVE-2025-22226

使用VMware Cloud Foundation或Telco Cloud Platform的組織必須應用異步補丁或升級到已修復的ESXi版本。

CISA建議企業采取以下措施：

• 立即修補：優先為ESXi、Workstation和Fusion應用更新。
• 監控虛擬機活動：檢測異常的權限提升或內存訪問模式。
• 利用BOD 22-01框架：根據CISA的KEV時間表調整修復工作流程。

由于漏洞已經被利用，延遲修補可能導致與2024年vCenter Server事件類似的大規模數據泄露。虛擬化技術是支撐關鍵基礎設施的重要基石，主動防御對于阻止尋求持久訪問的國家級攻擊者至關重要。